Anstoß zur DSGVO
© Fotolia/fotogestoeber
Heute tritt die Datenschutzgrundverordnung (DSGVO) europaweit in Kraft. Sie verschärft den Datenschutz und die Sanktionsmöglichkeiten deutlich, auch im Gesundheitswesen. Gleichzeitig ist richtig: Wer bisher korrekt mit dem Thema Datenschutz umging, hat viele Vorgaben bereits berücksichtigt. Und: „Übliche Arztpraxen“ sind zum Glück von manchen Vorschriften ausgenommen. Die folgenden zehn Fragen helfen Neulingen auf dem Gebiet des DSGVO – und das dürften die meisten sein –, eine Idee von den Herausforderungen zu bekommen.
- Brauchen Sie ein Verzeichnis von Verarbeitungstätigkeiten?
Werden gesundheitsbezogene Daten verarbeitet, verlangt der Gesetzgeber ein Verzeichnis der Verarbeitungstätigkeiten. Das trifft auf jede Arztpraxis zu! Bei diesem Verzeichnis handelt sich um eine Art Bestandsaufnahme, welche Daten auf welcher Rechtsgrundlage verarbeitet werden: In welchen Abteilungen werden welche Kategorien von Daten mit welchem Zweck verarbeitet und wer ist dafür verantwortlich? (Muster: Datensicherheit) - Kommen Sie den Informations - und Auskunftspflichten nach?
In einer Arztpraxis gilt zunächst der Behandlungsvertrag als Rechtsgrundlage, auf der Daten verarbeitet werden dürfen. Werden jedoch zusätzliche Dienste angeboten wie etwa ein Recall-Service, muss die Einwilligung des Patienten eingeholt werden, genauso wie für die Datenweitergabe an eine private Verrechnungsstelle und bei Abtretung der Honorarforderung. Die Informationspflichten wurden stark ausgeweitet. Da der Arzt im Zweifel die Einwilligung nachweisen muss, bietet sich ein unterschriebenes Einwilligungsformular an. Ein Aushang in der Praxis ist dagegen nicht ausreichend. Die Informationspflichten bestehen bereits „zum Zeitpunkt der Erhebung“. Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) interpretiert ganz praxisnah: Es sei ausreichend, den Patienten ein Handzettel auszuhändigen und das in der Akte zu vermerken. Der Zettel muss nur die wichtigsten Informationen zusammenfassen und kann ansonsten auf die Praxishomepage verweisen, wo die Informationen leicht zu finden sein sollten. Es ist also nicht notwendig, den Patienten „die Informationen schon am Telefon vorzulesen“, wie es plakative Gesetzesauslegungen besagt haben. - Müssen Sie einen Datenschutzbeauftragten haben?
Einen Datenschutzbeauftragten benötigt eine Arztpraxis, wenn ...
mindestens zehn Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigt sind. Dabei wird die Teilzeit-Sprechstundenhilfe voll mitgezählt, nicht aber eine Reinigungskraft, die zwar in die Kenntnis von Daten kommen kann, doch nicht mit deren Verarbeitung betraut ist.
Eine „umfangreiche Verarbeitung“ besonderer Kategorien personenbezogener Daten stattfindet. Das ist in einer üblichen Arztpraxis nicht der Fall, sagt das ULD. In MVZ, Krankenhäusern oder Pflegeheimen müssen die konkreten Gegebenheiten geprüft werden. Die Funktion des Datenschutzbeauftragten kann nicht vom Praxisinhaber erfüllt werden, sie muss intern oder extern vergeben werden. Der Datenschutzbeauftragte muss der zuständigen Datenschutzaufsichtsbehörde gemeldet werden und sollte der Homepage entnehmbar sein – Achtung, hier drohen Abmahnungen! - Haben Sie Ihre Beschäftigten auf den Datenschutz verpflichtet?
Beschäftigte, die mit personenbezogenen Daten umgehen, müssen verpflichtet werden, die Verarbeitung solcher Daten nach den Grundsätzen der DSGVO vorzunehmen. - Beachten Sie die Löschfristen?
Personenbezogene Daten sind zu löschen, sobald keine gesetzliche Grundlage mehr für ihre Speicherung besteht. Grundsätzlich kann ein Patient auch die Löschung von Daten verlangen – die Aufbewahrungspflicht für Behandlungsunterlagen geht aber vor, d. h., die Daten dürfen erst zehn Jahre nach Abschluss der Behandlung gelöscht werden. - Sind die Patientendaten ausreichend gesichert?
Um die sensiblen Patientendaten bei der automatisierten Verarbeitung zu schützen, werden Sicherheitsmaßnahmen vorausgesetzt wie etwa der Einsatz eines aktuellen Betriebssystems, Passwortschutz, regelmäßige Backups und Virenscanner. Daneben muss das Praxisverwaltungssystem vom Recherche-PC getrennt sein und ein Berechtigungskonzept für den Zugriff auf Patientendaten bestehen. Das Onlinetermin-Buchungsformular muss Ende-zu-Ende- und transportverschlüsselt sein. - Haben Sie Ihre Auftrags- verarbeitung geregelt?
Werden Dienstleister wie z.B. IT-Wartung, Software-Support oder Callcenter in Anspruch genommen, um personenbezogene Daten in ihrem Auftrag durch andere Unternehmen verarbeiten zu lassen, ist ein schriftlicher Vertrag zur Auftragsverarbeitung erforderlich. - Kennen Sie den richtigen Umgang mit Datenschutzverletzungen?
Kommt es bei der Verarbeitung personenbezogener Daten zu Sicherheitsvorfällen wie Diebstahl, Hacking oder das Fehlversenden eines Arztbriefes, haben Sie als Verantwortlicher die Pflicht, das der Aufsichtsbehörde zu melden. Erfolgt diese Meldung nicht, kann das Einfluss auf die Höhe des gegebenenfalls erfolgenden Bußgeldes haben! Mehr zu den neuen Bußgeldern auf unserer Homepage - Müssen Sie eine Datenschutz-Folgeabschätzung durchführen?
Besteht durch die Verarbeitung von Daten ein hohes Risiko für die betroffenen Personen, muss von der verarbeitenden Stelle eine Datenschutz-Folgenabschätzung durchgeführt werden. In diesem Fall ist auch der Datenschutzbeauftragte Pflicht. Übliche Arztpraxen sind hiervon allerdings erst mal nicht betroffen. In MVZ, Krankenhäusern oder Pflegeheimen müssen die konkreten Gegebenheiten geprüft werden. Mehr Informationen, Schulungen sowie Muster und Hilfestellung fürs Umsetzen der Anforderungen sollten Sie bei der KBV, Ihrer KV und bei der für Sie zuständigen Datenschutzbehörde erfragen. Experten raten übrigens dazu, speziell die notwendigen Änderungen auf der Internetseite (der Datenschutzerklärung, den Hinweisen bei der Online-Terminvergabe oder für den Newsletter, den Angaben zum Datenschutzbeauftragten) zeitnah in Angriff zu nehmen. Und zwar weniger mit Blick auf die Aufsichtsbehörden; möglicherweise stehen schon die Abmahner in den Startlöchern.